" /> BLOCKCHAIN Gestione dei dati - INTEROPERABILITY BLOCKCHAIN CENTER
  • Ven. Set 18th, 2020

INTEROPERABILITY BLOCKCHAIN CENTER

#INNOVAZIONE #COCREAZIONE #OLARCHIE

BLOCKCHAIN Gestione dei dati

  • Home
  • BLOCKCHAIN Gestione dei dati

Panoramica

Quando è entrato in vigore nel 2018, il Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea ha offerto una protezione innovativa per i dati personali. Ma ha anche sollevato domande per le reti blockchain in merito ai loro nuovi obblighi di conformità sia all’interno che all’esterno dell’UE.

Il GDPR impone obblighi su ciò che definisce responsabili e responsabili del trattamento dei dati; tuttavia, quando non esiste un fornitore di servizi centralizzato come su una rete blockchain, chi è responsabile della supervisione del trattamento dei dati personali o del pagamento di sanzioni in caso di violazione degli obblighi? E se una catena registra i dati immutabilmente, cosa significa per gli obblighi di cancellazione se tali dati non possono essere eliminati? Sebbene tali considerazioni non debbano essere proibitive per iniziare un nuovo progetto blockchain, dovrebbero essere affrontate in anticipo – anche, in alcune circostanze, da organizzazioni della catena di fornitura che non hanno sede nell’UE.

Lettura consigliata – Distribuzione inclusiva di Blockchain per catene di approvvigionamento: Parte 4 – Protezione dei dati . [96]

Applicabilità del GDPR

C’è una comprensione generale che la regolamentazione dei dati personali si applicherà alla tua soluzione blockchain? Quali fattori devono prendere in considerazione le organizzazioni per determinare l’applicabilità degli obblighi in materia di protezione dei dati e privacy?

I requisiti di conformità della protezione dei dati personali possono dissuadere dalla diffusione della blockchain nelle catene di approvvigionamento se non compresi correttamente, in parte perché il costo della non conformità è così elevato. Inoltre, tali regolamenti sono raramente fatti tenendo presente la blockchain e quindi non tengono conto delle sfumature particolari associate alla blockchain.

Sebbene non sia possibile presentare un trattamento completo di tutte le normative sulla protezione dei dati personali che potrebbero applicarsi a una soluzione blockchain internazionale, questo modulo si concentra sul Regolamento generale sulla protezione dei dati (GDPR) dell’Unione Europea come proxy per tutti gli obblighi di protezione e privacy dei dati dovuti nella sua ampia portata e dettaglio. Il GDPR è anche all’avanguardia di una nuova ondata di legislazione sulla protezione dei dati a livello globale che impone rigorosi obblighi alle organizzazioni che gestiscono dati personali o informazioni di identificazione personale, come il recente California Consumer Privacy Act (CCPA).

Molte entità extra UE credono erroneamente che il GDPR non sia applicabile alle loro soluzioni. È importante che i partner della catena di fornitura non con sede nell’UE considerino che potrebbero ancora trovarsi soggetti ai requisiti del GDPR in circostanze specifiche.

Alla luce delle ingenti ammende comminate per non conformità e del requisito del GDPR di considerare le implicazioni della protezione dei dati da zero – un concetto noto come “privacy by design” – si raccomanda vivamente la revisione di questo capitolo e la consulenza legale professionale. Inoltre, si consiglia una consulenza legale professionale per determinare se qualsiasi altra legislazione sulla protezione dei dati specifica per paese debba essere presa in considerazione, inclusa la legislazione relativa ai trasferimenti internazionali di dati.

Utilizzando il GDPR come proxy per la protezione dei dati e le normative sulla privacy, possiamo supporre che il GDPR possa applicarsi a una soluzione o transazione blockchain. Non c’è nulla in un contesto blockchain che esenta tali cose dal regolamento sulla protezione dei dati.

Se il GDPR si applica si baserà sulle risposte a due domande principali:

  • Dati personali ai sensi del GDPR: I dati nella catena di fornitura soddisfano la definizione di “dati personali” ai sensi del GDPR?
    I dati personali possono includere il nome, il numero di identificazione, i dati sulla posizione, l’identificatore online o altre informazioni relative a una persona. Esistono quindi vari punti di dati all’interno di una catena di fornitura che potrebbero ragionevolmente essere considerati conformi alla definizione di dati personali. La definizione di dati personali del GDPR può anche includere dati pseudonimizzati se tali dati possono essere associati indirettamente a una persona mediante riferimenti incrociati con altri set di dati o con altri mezzi.Ai fini del GDPR, i dati transazionali archiviati nei blocchi e nelle chiavi pubbliche possono essere considerati conformi alla definizione di dati personali, sebbene anche questo elenco non sia esaustivo. Si noti che categorie speciali di dati personali, come i dati che rivelerebbero l’origine razziale, le credenze religiose o l’orientamento sessuale di una persona interessata, sono definite come dati di categorie speciali e quindi soggette a protezioni ancora maggiori ai sensi del GDPR.
  • Ambito territoriale del GDPR: il trattamento di tali dati da parte della soluzione blockchain in questione rientra nell’ambito territoriale del GDPR?
    La questione dell’ambito territoriale richiede di considerare (1) se i responsabili del trattamento o i responsabili del trattamento sono stabiliti all’interno dell’UE (il “test di stabilimento”); o (2) se il responsabile del trattamento o il responsabile del trattamento è stabilito al di fuori dell’UE, indipendentemente dal fatto che: (a) offra beni e servizi agli interessati (persone) all’interno dell’UE (il “test di targeting”); oppure (b) controlla il comportamento degli interessati nell’UE, laddove tale comportamento si verifica nell’UE (il “test di monitoraggio”).Il GDPR si applica solo quando sono soddisfatte sia la definizione dei dati personali sia le condizioni di ambito territoriale. Se si applica il GDPR, quindi tutta la raccolta, l’archiviazione e l’elaborazione dei dati personali devono essere eseguiti in conformità con i requisiti del GDPR e questo include tali dati sulla blockchain.

Il GDPR si applica solo quando sono soddisfatte sia la definizione dei dati personali sia le condizioni di ambito territoriale. Se si applica il GDPR, quindi tutta la raccolta, l’archiviazione e l’elaborazione dei dati personali devono essere eseguiti in conformità con i requisiti del GDPR e questo include tali dati sulla blockchain.

Vedi il white paper del World Economic Forum Inclusive Deployment of Blockchain for Supply Chains: Part 4 – Protecting Your Data [97] per una descrizione dettagliata di questi due problemi. La corretta applicazione di questi test dipende dai fatti specifici del caso e si consiglia una consulenza legale professionale oltre l’esercizio di valutazione iniziale. Inoltre, si consiglia una consulenza legale professionale per determinare se qualsiasi altra legislazione sulla protezione dei dati e sulla privacy specifica per paese, nonché le norme che regolano i trasferimenti internazionali di dati, dovrebbero essere prese in considerazione.

In questo toolkit, il modulo Identità digitali offre approfondimenti su varie considerazioni per le informazioni di identificazione personale (PII) e una comprensione più profonda dell’identità digitale.

Rispetto degli obblighi del GDPR

Una soluzione blockchain può essere conforme al GDPR date le sue caratteristiche di immutabilità e natura distribuita?

L’Osservatorio e il forum della Blockchain dell’Unione Europea hanno dichiarato nel suo rapporto tematico sulla Blockchain e sul GDPR: “Non esiste una tecnologia blockchain conforme al GDPR. Esistono solo casi d’uso e applicazioni conformi al GDPR. “

Quando si applica il GDPR, alle operazioni di trattamento si applicano gli obblighi relativi al trattamento dei dati personali.

Il raggiungimento della conformità al GDPR può richiedere un’analisi legale e tecnica dettagliata. Di seguito sono riportati i passaggi importanti da adottare per affrontare la conformità ai sensi del GDPR per una soluzione blockchain:

Importanti passi da compiere per costruire una soluzione conforme al GDPR
Figura 10.1 – Importanti passi da compiere per costruire una soluzione conforme al GDPR
  • Comprendere il profilo dati dell’organizzazione . Impegnarsi in un dettagliato esercizio di accertamento dei fatti in relazione al profilo dei dati dell’organizzazione. Ciò include la comprensione dei ruoli e delle responsabilità relative alle attività di elaborazione dei dati al fine di determinare se si è un responsabile del trattamento dei dati, un responsabile congiunto o un responsabile del trattamento. Include anche la comprensione di quali dati personali vengono raccolti, a chi si riferisce, come vengono elaborati e per quali motivi, dove vengono elaborati, a chi vengono forniti, a chi ha accesso ad essi e per quanto tempo vengono conservati. Ulteriori indicazioni su queste e altre considerazioni sono disponibili sui siti web delle autorità nazionali di protezione dei dati degli Stati membri dell’UE.

Esempio : l’Ufficio del commissario per le informazioni del Regno Unito e la Commissione irlandese per la protezione dei dati forniscono utili risorse in lingua inglese, progettate per essere accessibili a non specialisti come cittadini e proprietari di piccole imprese.

  • Considerare la base giuridica per l’elaborazione . Determinazione della base giuridica per l’elaborazione dei dati personali sulla blockchain. È un principio fondamentale del GDPR che l’elaborazione legale dei dati può avvenire solo per uno dei sei motivi legittimi, ad esempio nell’ambito di un contratto, obbligo legale o interesse legittimo, tra gli altri. Questa non è una semplice considerazione per la blockchain a causa della natura della blockchain, come il fatto che, in molti casi, non ci sarà una relazione diretta tra un determinato attore blockchain e la parte i cui dati vengono elaborati. Gli obblighi in materia di responsabili del trattamento e responsabili del trattamento dei dati dovrebbero essere presi in considerazione anche qui.
  • Considerare come tutelare i diritti dell’interessato. Considera come i diritti dell’interessato concessi dal GDPR – inclusi l’accesso ai dati, la correzione e la cancellazione – possono essere soddisfatti quando l’interessato presenta tale richiesta. A seconda della soluzione blockchain utilizzata, ad esempio una blockchain pubblica senza autorizzazione o privata. o qualsiasi altro tipo di blockchain. Mentre l’accesso ai dati personali su una blockchain dovrebbe essere tecnicamente fattibile, può risultare difficile rettificare o eliminare i dati personali su una blockchain poiché le blockchain sono generalmente progettate per offrire l’immutabilità. È importante notare che questi diritti possono essere esercitati in qualsiasi momento da una persona interessata, ed è quindi importante mettere in atto sistemi che consentano al responsabile del trattamento dei dati personali di conformarsi alla richiesta entro un mese dalla richiesta. A questo proposito, la considerazione dell’accessibilità in fase di progettazione dello stack di dati può rendere più semplice soddisfare tali richieste in un secondo momento se e quando si verificano. Questo è altrimenti noto come approccio di “privacy by design” per la progettazione dello stack di dati.
  • Considerare il processo di conformità in corso . La conformità al GDPR è un processo in corso piuttosto che un esercizio una tantum. Le attività in corso possono includere:
    • Applicare un approccio di “privacy by design” in base al quale la protezione dei dati è diventata una parte essenziale della funzionalità principale della soluzione blockchain e i requisiti di protezione dei dati sono considerati durante tutto il processo di progettazione e implementazione
    • Creazione di un framework GDPR e di un programma interno di conformità che includa politiche essenziali in materia di sicurezza dei dati, violazioni dei dati e obblighi di notifica, privacy di progettazione, gestione di fornitori di terze parti e diritti degli interessati
    • Implementazione di avvisi di trasparenza conformi al GDPR tra cui una politica sulla privacy del sito Web, una politica sulla privacy dei dipendenti, ecc.
    • Formazione continua dei dipendenti per garantire che il framework GDPR e il programma di conformità siano adeguatamente attuati e implementati
    • Mantenimento continuo degli obblighi di sicurezza dell’organizzazione
    • Mantenimento continuo dei processi e rispetto degli obblighi in materia di diritti dell’interessato
    • Revisione in corso delle linee guida emesse dall’European Data Protection Board (EDPB), un ente europeo indipendente, che lavora per garantire l’applicazione coerente del GDPR tra gli Stati membri dell’Unione Europea e le autorità di regolamentazione degli Stati membri dell’UE come l’Ufficio del Commissario per le informazioni del Regno Unito o il Commissione irlandese per la protezione dei dati. Questa funzione sarà realisticamente affidata a un consulente legale
    • Buona igiene e mappatura dei dati, anche a livello di ingegneria dello stack di dati, per garantire che gli obblighi relativi ai diritti dell’interessato possano essere facilmente rispettati
    • Incentivare una cultura aziendale prima di privacy
    • Stare al passo con i cambiamenti nelle leggi sulla protezione dei dati che influenzeranno gli obblighi legali
    • Conoscenza e consulenza legale in merito agli obblighi del GDPR in materia di trasferimenti di dati al di fuori dell’UE

Non esiste un’unica soluzione blockchain o set di soluzioni per risolvere i problemi sopra descritti.

La soluzione più semplice conforme al GDPR sarà sempre quella di escludere la memorizzazione e l’elaborazione dei dati personali sulla blockchain all’inizio, ma laddove ciò non sia possibile o pratico, sarà necessario prestare particolare attenzione ai requisiti riassunti sopra, il tecnico funzionalità della soluzione blockchain e fattori di prestazione specifici che la soluzione blockchain mira a ottimizzare. Se l’archiviazione dei dati off-chain viene scelta come metodo appropriato per ridurre il rischio sulla blockchain stessa in modo da escludere la blockchain dal GDPR, gli obblighi GDPR si applicheranno comunque ai dati archiviati off-chain se le due condizioni di definizione dei dati personali e ambito territoriale sono rispettati.

Di seguito vengono descritti gli approcci tecnologici che possono essere utilizzati come punto di partenza per ottenere la conformità al GDPR.

Approcci tecnici alla conformità al GDPR

Quali funzionalità possono essere integrate in una soluzione blockchain per rendere possibile la conformità al GDPR?

Le autorità di protezione dei dati degli Stati membri dell’UE, l’European Data Protection Board (EDPB) e i rispettivi tribunali, compresa la Corte di giustizia europea (CGUE) non hanno ancora concluso quali approcci tecnologici assicurano una soluzione blockchain conforme al GDPR. Tuttavia, le seguenti rappresentano alcune tecnologie e strategie comuni che possono essere utilizzate per soddisfare determinati requisiti GDPR durante l’elaborazione dei dati personali mantenendo la funzionalità desiderata della blockchain.

Queste possibili soluzioni sono state riconosciute dall’Osservatorio e Forum Blockchain dell’Unione europea, [98] dal gruppo di esperti per il futuro della scienza e della tecnologia del Servizio di ricerca parlamentare europeo [99] , nonché dall’Autorità francese per la protezione dei dati (CNIL). [100] Tuttavia, è importante notare che delle tre entità sopra menzionate, solo la CNIL ha l’autorità legale per determinare con un certo grado di certezza la legalità di una soluzione, e la sua sentenza potrebbe in teoria essere annullata dall’EDPB e dalla CGUE un futuro nel tempo. In caso di dubbio, si consiglia comunque una consulenza legale caso per caso.

Principali opzioni di progettazione per la riservatezza dei dati in una soluzione blockchain
Figura 10.2 – Principali opzioni di progettazione per la riservatezza dei dati in una soluzione blockchain

Per una panoramica più ampia di alcune delle attuali tecnologie che stabiliscono la protezione dei dati su una blockchain, consultare il modulo Protezione dei dati .

Di seguito è una spiegazione di ogni tecnologia e la sua rilevanza per la conformità al GDPR.

On-chain / off-chain, offuscamento dei dati personali e conformità al GDPR

Ai sensi del GDPR, i dati personali devono essere conservati solo per il tempo necessario a conseguire gli scopi per i quali sono stati raccolti. Non essere in grado di eliminare o eliminare efficacemente tali dati personali da una blockchain, a causa del principio di immutabilità, potrebbe costituire una violazione del GDPR perché il “responsabile del trattamento dei dati” non sarebbe in grado di proteggere il diritto alla cancellazione dell’interessato.

Laddove i dati personali vengono elaborati per una soluzione della catena di approvvigionamento, un potenziale approccio sarebbe quello di archiviare solo un hash dei dati personali rilevanti sulla blockchain, invece di archiviare i dati personali stessi sulla blockchain. I dati personali potrebbero essere archiviati off-chain.

L’hash o l’offuscamento dei dati personali può aumentare il controllo e la sicurezza dei dati personali originali gestiti dal responsabile del trattamento e consentire al titolare del trattamento di continuare a proteggere e soddisfare le richieste dei diritti degli interessati. Ad esempio, se una persona interessata dovesse richiedere la cancellazione dei propri dati personali, il responsabile del trattamento dei dati sarebbe in grado di effettuare tale cancellazione eliminando i dati personali archiviati off-chain, lasciando ciò che diventerebbe un hash insignificante sulla catena.

Questa soluzione presuppone inoltre che (a) l’hash renda inaccessibile i dati personali originali, ad esempio l’hash non può essere in qualche modo elaborato per rivelare i dati personali originali; (b) la cancellazione dei dati personali originali è sufficiente per rendere l’hash insignificante anche se combinato con qualsiasi altra informazione – ad esempio qualsiasi chiave pertinente, informazioni memorizzate su altre parti del libro mastro distribuito; e (c) che i regolatori sono soddisfatti da questa strategia.

Questo approccio potrebbe consentire di condurre analisi significative (sui modelli di utilizzo, ad esempio), pur avendo il potenziale per raggiungere la conformità al GDPR se applicato in modo completo su tutta la blockchain – e le presunzioni in (a), (b) e (c) sono vero.

Controlli di accesso basati sui ruoli e conformità al GDPR

I problemi di integrità dei dati, in particolare quelli non avversari, non sono una novità nel mondo della catena di approvvigionamento. Pertanto, le soluzioni rilevanti per prevenire errori di integrità dei dati benigni in un contesto blockchain non differiscono molto dalle soluzioni applicate ai problemi di integrità dei dati in un contesto più tradizionale della catena di approvvigionamento.

È relativamente semplice prevenire guasti benigni, dal momento che non è necessario anticipare le potenziali azioni di aggressori intelligenti e intraprendenti. Si applicano gli stessi principi e tecniche tradizionali – che utilizzano dal punto di vista del GDPR, i controlli di accesso basati sui ruoli (RBAC) possono essere uno strumento efficace per affrontare le sfide di conformità. In definitiva, gli obblighi del GDPR si applicano in gran parte al trattamento dei dati personali indipendentemente dal fatto che il gestore dei dati sia definito come responsabile del trattamento (che determina le finalità e i mezzi del trattamento dei dati personali) o responsabile del trattamento (che elabora i dati personali per conto e su istruzione di un controller).

Nel framework GDPR, il responsabile del trattamento in una blockchain è chiunque determini gli scopi e i mezzi del trattamento dei dati personali scrivendo o aggiungendo dati personali alla blockchain a titolo professionale o commerciale e un elaboratore è chiunque elabori tali dati personali sul per conto del controllore o su istruzione del controllore.

Chiunque acceda alla blockchain per leggere i dati personali deve assicurarsi di disporre di una base legale su cui elaborare i dati a cui accede. In una blockchain, è improbabile che questa base legale esista senza una sorta di relazione contrattuale tra gli attori blockchain.

Una soluzione blockchain ad accesso aperto senza controlli di accesso basati sul ruolo o altre restrizioni di accesso (come una blockchain pubblica) non si adatta perfettamente a questo framework, principalmente perché è difficile identificare una qualsiasi entità che può essere ritenuta responsabile o essere costretta rispettare le norme sulla protezione dei dati che si applicherebbero ai dati personali su tale soluzione blockchain pubblica. Mentre può essere chiaro chi sia il controller prima che i dati personali vengano caricati sulla blockchain e in un modello client-provider tradizionale, è meno chiaro cosa succede dopo il caricamento. Al momento del caricamento, i dati personali verranno elaborati collettivamente tramite un protocollo condiviso, senza che il controllore possa garantire che i destinatari della blockchain mantengano i requisiti del GDPR.

A causa di questo protocollo condiviso se il partecipante blockchain è un processore, il problema in questi casi è determinare in che modo il controller originale può costringere il processore a soddisfare i requisiti GDPR (come far valere i diritti dell’interessato) e rispettare i termini originali di divulgazione dall’interessato al responsabile del trattamento.

Se il partecipante blockchain è un nuovo controller, non ha una relazione definita con l’interessato, quindi non è chiaro su quale base giuridica il nuovo controller tratterà tali dati personali. È chiaro, quindi, che la divulgazione di dati personali alla blockchain presenterebbe significativi problemi di conformità al GDPR per il controllore originale e creerebbe un incubo di applicazione per l’interessato.

Si noti che permane l’incertezza giuridica sullo status degli attori che agiscono come nodi di convalida in blockchain pubblici senza autorizzazione poiché il GDPR non è stato progettato tenendo presente questo particolare scenario.

Approcci potenziali. Potrebbe essere possibile affrontare questo problema architettonicamente progettando una soluzione blockchain autorizzata privata, in base alla quale tutti i partecipanti devono accettare di rispettare determinati termini conformi al GDPR come condizione per ottenere l’autorizzazione: ad esempio usi consentiti, regole sui periodi di conservazione, cancellazione, sicurezza e esportazione di dati verso giurisdizioni straniere.

Inoltre, come raccomandato dalla CNIL, i consorzi privati ​​delle reti blockchain autorizzate dovrebbero anche identificare il controller o i controller congiunti il ​​più presto possibile. [101] Non sarebbe consentito alcun accesso pubblico o non autorizzato ai dati della blockchain o tale accesso dovrebbe essere considerato attentamente. Tuttavia, è improbabile che ciò possa rispondere alle preoccupazioni relative alla ripartizione della responsabilità per errori, se non del tutto.

Gli interessati hanno il diritto di correggere i dati personali inesatti, e quindi mentre la blockchain mantiene una buona sicurezza sulla manomissione dei dati, una volta aggiunti i dati, qualsiasi soluzione dovrà comunque affrontare il problema dei dati difettosi o fraudolenti che verranno aggiunti nel primo posto.

Una possibile contromisura potrebbe essere quella di eliminare un partecipante “cattivo” che condivide costantemente dati difettosi o fraudolenti. Tuttavia, laddove tali errori hanno conseguenze finanziarie, la questione dell’esecuzione tra i partecipanti alla blockchain – ad esempio, chi può presentare un reclamo, quale sarebbe il quanto di tale reclamo e come sarà ripartita la responsabilità – diventa importante e dovrebbe essere considerato in fase di progettazione della soluzione blockchain.

A prova di conoscenza zero

La prova a conoscenza zero consente a una parte di far valere la validità di un’affermazione senza rivelare i fatti sottostanti che rendono l’affermazione vera o falsa. L’algoritmo che esegue ciò esegue ripetutamente un’istruzione attraverso un test vero / falso fino a quando la probabilità che tale affermazione sia falsa diventa incredibilmente bassa. A questo punto, si è in grado di affermare con sicurezza che l’affermazione è vera. Uno dei progressi chiave nella dimostrazione della conoscenza zero è la succinta argomentazione non interattiva concisa della conoscenza zero (zk-SNARK). Questa tecnologia riduce significativamente il tempo impiegato da un algoritmo a prova di conoscenza zero per restituire un risultato ed è una delle funzionalità più potenti e promettenti della blockchain. L’offuscamento dei dati sottostanti, comprese le informazioni personali, può rendere completamente anonimi i dati personali offuscati.

Crittografia completamente omomorfa

“Con una tecnologia emergente come la blockchain, la prontezza o la maturità della tecnologia è importante da notare quando si progetta una soluzione. Per quanto riguarda in particolare la protezione dei dati, la crittografia completamente omomorfa (FHE) potrebbe sembrare ideale dal punto di vista tecnico per proteggere le informazioni. Ma dal punto di vista pratico, può essere lento e quindi dovrebbe essere applicato solo a un tipo limitato di elaborazione dei dati. Dato lo stato attuale di FHE, è più realistico utilizzare la crittografia ordinaria o un database off-chain poiché i casi d’uso che potrebbero trarre beneficio da FHE sarebbero limitati. “

Takayuki Suzuki , Divisione Gestione delle vendite dei sistemi di informazione finanziaria, Hitachi, Giappone

La crittografia completamente omomorfa (FHE) è un modo in cui i calcoli matematici possono essere eseguiti off-chain su dati crittografati e restituire un risultato crittografato. Tuttavia, la latenza di un sistema che utilizza questo metodo di calcolo è persino più lenta di quella che utilizza una prova a conoscenza zero. Mentre i partner della catena di approvvigionamento sarebbero in grado di eseguire analisi dei dati su algoritmi di intelligenza artificiale su dati completamente crittografati e solo a coloro che dovrebbero avere accesso al risultato sarebbe fornita una chiave per decrittografarlo, e quindi i dati potrebbero essere completamente anonimizzati . La lentezza di FHE, tuttavia, significa che in genere non può valere la pena dell’impresa a meno che una catena di approvvigionamento non abbia un calcolo per il quale non necessita di trasmissione in tempo reale o vicina al tempo reale.

Altri metodi per avvicinarsi alla conformità al GDPR

La memorizzazione di dati personali off-chain con un hash on-chain e l’adozione di controlli di accesso basati sui ruoli sono due degli approcci più comunemente utilizzati per perseguire l’obiettivo di raggiungere la conformità al GDPR in una distribuzione blockchain. Tuttavia, è importante notare che esistono anche altri approcci. Sebbene non comuni, le blockchain modificabili consentono il rispetto dei diritti dell’interessato consentendo a un amministratore privato blockchain autorizzato di eliminare e modificare informazioni errate o obsolete; il compromesso è che sacrifica anche la natura immutabile della blockchain. Altre soluzioni consentono la cancellazione mediante crittografia, per cui un amministratore blockchain rende inaccessibili determinati dati aumentando le autorizzazioni necessarie per accedere a un blocco preesistente sulla blockchain.

Principi per la realizzazione di soluzioni conformi al GDPR

Quali sono i quattro principi chiave che devono seguire le soluzioni blockchain conformi al GDPR?

Nel 2019, un rapporto di diversi gruppi del settore della catena logistica e studi legali ha identificato quattro principi guida per le soluzioni blockchain conformi al GDPR. [102]

I principi delineati nella relazione sono:

  1. Usa una blockchain privata e autorizzata quando raccogli ed elabori dati personali. Mentre la visione più comune della blockchain è di una rete completamente pubblica e senza autorizzazioni, ci sono molte reti private che sono in realtà private e richiedono il permesso di aderire. Poiché chiunque può aderire a una blockchain pubblica senza autorizzazione, è impossibile garantire ai partecipanti l’accettazione delle regole necessarie per la protezione dei dati personali. Di conseguenza, le blockchain private e autorizzate possono essere impiegate per lavorare verso una soluzione blockchain conforme al GDPR. Inoltre, dovrebbero essere messi in atto meccanismi adeguati quando si collegano blockchain pubblici e privati.
  2. Evitare, se possibile, la memorizzazione di dati personali sulla blockchain. Il modo più ovvio per evitare problemi di conformità al GDPR è utilizzare una soluzione blockchain che non elabora alcun dato personale e riduce al minimo l’archiviazione dei dati in formato libero. Mentre mantenere una blockchain completamente libera dai dati personali sarà molto difficile da raggiungere, questo può essere fatto implementando tecniche crittografiche avanzate come offuscamenti dei dati, hash e aggregazione. Ad esempio, una soluzione blockchain può archiviare una rappresentazione con hash dei dati personali sulla blockchain, con i dati personali sottostanti e identificabili tenuti fuori catena. Il middleware può quindi essere utilizzato per combinare i dati off-chain e on-chain per fornire una visione completa che include i dati personali off-chain solo per utenti autorizzati.
  3. Stabilire un quadro di governance dettagliato. Dato: (a) la necessità di proteggere adeguatamente i dati personali; (b) l’obbligo di stabilire relazioni contrattuali che disciplinano il trattamento dei dati personali tra le parti; e (c) gli obblighi legali dei responsabili del trattamento dei dati a fornire agli individui i mezzi per difendere i loro diritti sui dati personali, una soluzione commerciale blockchain conforme al GDPR richiederà un quadro di governance e una gestione del ciclo di vita dei dati che sia contrattualmente vincolante per tutti i partecipanti e stabilisca chiaramente i diritti e le responsabilità di ciascuna parte.
  4. Impiegare soluzioni innovative ai problemi di protezione dei dati. La natura immutabile dei dati blockchain è l’unico elemento della tecnologia che si scontra più chiaramente con i diritti degli interessati ai sensi del GDPR. Tuttavia, attraverso l’uso di soluzioni innovative come la crittografia irreversibile avanzata come mezzo di eliminazione, potrebbe essere possibile rispettare lo spirito e la politica della legislazione, se non ancora del tutto. Sebbene vi siano buoni argomenti per ritenere che la crittografia irreversibile sia adeguata per la conformità al GDPR, in questo settore sono necessarie indicazioni definitive da parte delle autorità di regolamentazione. Una delle sfide principali che devono affrontare le autorità di regolamentazione in questo ambito è il bilanciamento della legislazione e dei progressi tecnologici poiché, senza dubbio, la tecnologia si sta muovendo a un ritmo che i legislatori fanno fatica a tenere il passo.

Rapida analisi iniziale per la conformità al GDPR

A causa della grande varietà di soluzioni e configurazioni blockchain, ognuna deve essere analizzata in base ai propri meriti distinti per la conformità al GDPR. Il seguente albero decisionale (vedi Figura 10.3) fornisce un riepilogo semplificato degli approcci comuni per l’approccio alla conformità al GDPR in un contesto blockchain.

Questo albero non ha lo scopo di fornire una risposta autorevole finale, ma di aiutare con una visione semplificata delle scelte che devono essere fatte durante la progettazione e lo sviluppo di una soluzione blockchain. Una soluzione che ha meno probabilità di essere conforme al GDPR richiede un’ulteriore valutazione e una valutazione dell’impatto sulla protezione dei dati.

Albero decisionale con una sintesi semplificata degli approcci comuni per la conformità al GDPR in un contesto blockchain.  Una soluzione che difficilmente sarà conforme al GDPR richiede un'ulteriore valutazione e una valutazione dell'impatto sulla protezione dei dati
Figura 10.3 – Albero decisionale con un riepilogo semplificato degli approcci comuni per la conformità al GDPR in un contesto blockchain. Una soluzione che difficilmente sarà conforme al GDPR richiede un’ulteriore valutazione e una valutazione dell’impatto sulla protezione dei dati

In conclusione, mentre esiste una tensione intrinseca tra una legge sulla protezione dei dati neutra dalla tecnologia come il GDPR e una tecnologia specifica come la blockchain, non è impossibile diventare conformi. È necessario richiedere una consulenza legale per garantire che le soluzioni proposte siano conformi caso per caso. Dimostrare la conformità quando una prescrizione non è ovvia richiede la volontà di aderire sia alla legge (ove chiara) sia allo spirito della legge (laddove la lettera non è chiara) conducendo una valutazione dell’impatto sulla protezione dei dati per soddisfare le autorità di regolamentazione.